Azure 監視器中的 Log Analytics 工作區資料匯出

Log Analytics 工作區中的資料匯出可讓您在到達 Azure 監視器管線時,持續將工作區中每個所選資料表的資料匯出至Azure 儲存體帳戶或Azure 事件中樞。 本文提供此功能的詳細資料,以及設定工作區中資料匯出的步驟。

概觀

Log Analytics 中的資料適用于工作區中定義的保留期間,並用於 Azure 監視器和 Azure 服務中提供的各種體驗。 在某些情況下,您需要使用其他工具:

  • 防竄改的存放區合規性 – 資料一旦內嵌後就無法在 Log Analytics 中變更,但可以清除。 匯出至儲存體具有不變性原則的帳戶集,以保護資料遭到竄改。
  • 與 Azure 服務和其他工具整合 – 匯出至事件中樞,因為事件中樞會在 Azure 監視器中送達並處理。
  • 長時間保留稽核和安全性資料 – 匯出至工作區區域中的 儲存體 帳戶,或使用任何Azure 儲存體備援選項將資料複寫至其他區域,包括 「GRS」 和 「GZRS」。

在 Log Analytics 工作區中設定資料匯出規則之後,規則中資料表的新資料會從 Azure 監視器管線匯出到您的儲存體帳戶或事件中樞。當規則送達時。

Data export overview

資料會在沒有篩選的情況下匯出。 例如,當您設定 SecurityEvent 資料表的資料匯出規則時,所有傳送至 SecurityEvent 資料表的資料都會從設定時間開始匯出。

其他匯出選項

Log Analytics 工作區資料匯出會持續匯出傳送至 Log Analytics 工作區的資料。 有其他選項可匯出特定案例的資料:

限制

  • 匯出中將支援所有資料表,但目前僅限於 支援資料表 區段中指定的資料表。
  • 匯出時不支援使用 HTTP 資料收集器 API 的舊版自訂記錄,而 DCR 型自訂記錄 的資料則可匯出。
  • 您可以在工作區中定義最多 10 個已啟用的規則。 停用時允許更多規則。
  • 目的地必須位於與 Log Analytics 工作區相同的區域中。
  • 儲存體帳戶在工作區中的規則之間必須是唯一的。
  • 資料表名稱在匯出至 儲存體 Account 時不能超過 60 個字元,而事件中樞則不能超過 47 個字元。 不會匯出名稱較長的資料表。
  • 目前中國不支援資料匯出。

資料完整性

資料匯出已針對將大型資料量移至目的地進行優化,而且在特定重試情況下,可以包含一小部分的重複記錄。 達到輸入限制時,匯出作業可能會失敗,請參閱 建立或更新資料匯出規則底下的詳細資料。 在這種情況下,重試最多會持續 30 分鐘,如果目的地無法使用,則會捨棄資料,直到目的地變成可用為止。

定價模式

資料匯出費用是以位元組為單位匯出的資料量為基礎。 Log Analytics 資料匯出所匯出的資料大小是匯出 JSON 格式化資料中的位元組數目。 資料量是以 GB (10^9 個位元組來測量)

如需詳細資訊,包括資料匯出計費時程表,請參閱 Azure 監視器定價

匯出目的地

在工作區中建立匯出規則之前,必須先提供資料匯出目的地。 目的地不需要與您的工作區位於相同的訂用帳戶中。 使用 Azure Lighthouse 時,也可以將資料傳送至另一個Azure Active Directory租使用者中的目的地。

儲存體帳戶

您必須擁有工作區和目的地的「寫入」許可權,才能設定資料匯出規則。

請勿使用具有其他非監視資料的現有儲存體帳戶,以進一步控制資料的存取,並防止達到儲存體輸入速率限制、失敗和延遲。

若要將資料傳送至不可變儲存體帳戶,請設定儲存體帳戶的不可變原則,如設定和管理 Blob 儲存體的不變性原則中所述。 您必須遵循本文中的所有步驟,包括啟用受保護的附加 Blob 寫入。

儲存體帳戶必須是 StorageV1 或更新版本,且與您的工作區位於相同的區域中。 如果您需要將資料複寫至其他區域中的其他儲存體帳戶,您可以使用任何Azure 儲存體備援選項,包括 「GRS」 和 「GZRS」。

當資料到達 Azure 監視器並匯出至位於工作區區域的目的地時,資料會傳送至儲存體帳戶。 系統會針對 儲存體 Account 中的每個資料表建立容器,名稱am-後面接著資料表的名稱。 例如, SecurityEvent 資料表會傳送至名為 am-SecurityEvent的容器。

Blob 儲存在路徑結構的 5 分鐘資料夾中: WorkspaceResourceId=/subscriptions/subscription-id/resourcegroups/ < resource-group > /providers/microsoft.operationalinsights/workspaces/ < workspace > /y= < four-digit numeric year > /m= < two-digit numeric month > /d= < two-digit numeric day > /h= < two-digit 24-hour clock hour > /m= < two-digit 60-minute clock minute > /PT05M.json. 附加 Blob 限制為 50 K 寫入且可達到,且更多 Blob 會新增至資料夾中,例如:PT05M_#.json*,其中 # 是累加 Blob 計數。

儲存體 Account 中的 Blob 格式為JSON 行,其中每個記錄是以分行符號分隔,不含外部記錄陣列,且 JSON 記錄之間沒有逗號。

Storage sample data

事件中樞

您必須擁有工作區和目的地的「寫入」許可權,才能設定資料匯出規則。 事件中樞命名空間的共用存取原則會定義串流機制擁有的許可權。 串流至事件中樞需要管理、傳送和接聽許可權。 若要更新匯出規則,您必須擁有該事件中樞授權規則的 ListKey 許可權。

請勿使用具有、非監視資料的現有事件中樞,以防止到達事件中樞命名空間輸入速率限制、失敗和延遲。

資料會在到達 Azure 監視器並匯出至位於工作區區域的目的地時傳送至事件中樞。 您可以藉由在規則中提供不同的 event hub name 來建立多個匯出規則至相同的事件中樞命名空間。 未提供 時 event hub name ,系統會針對您以名稱匯出的資料表建立預設事件中樞: am- 後面接著資料表的名稱。 例如, SecurityEvent 資料表會傳送至名為 am-SecurityEvent的事件中樞。 'Basic' 和 'Standard' 命名空間層中支援的事件中樞數目為 10。 將超過 10 個數據表匯出至這些層時,請將資料表分割成數個匯出規則、不同的事件中樞命名空間,或提供事件中樞名稱來匯出所有資料表。

注意

  • 「基本」事件中樞命名空間層有限 – 它支援 較低的事件大小 ,而且沒有自動 擴充 選項可自動相應增加和增加輸送量單位數目。 由於工作區的資料量隨著時間增加,因此需要事件中樞調整,因此請使用已啟用自動擴充功能的「標準」、「進階版」或「專用」事件中樞層。 請參閱自動相應增加Azure 事件中樞輸送量單位
  • 啟用虛擬網路時,資料匯出無法連線到事件中樞資源。 您必須啟用 [允許受信任的Microsoft 服務略過事件中樞中的此防火牆設定,才能授與事件中樞的存取權。

啟用資料匯出

您必須執行下列步驟,才能啟用 Log Analytics 資料匯出。 如需每個章節的詳細資訊,請參閱下列各節。

  • 註冊資源提供者。
  • 允許受信任的Microsoft 服務。
  • 建立一或多個資料匯出規則,以定義要匯出的資料表及其目的地。

註冊資源提供者

Azure 資源提供者 Microsoft。Insights必須在您的訂用帳戶中註冊,才能啟用 Log Analytics 資料匯出。

此資源提供者可能已經向大部分的 Azure 監視器使用者註冊。 若要確認,請移至Azure 入口網站中的用帳戶。 選取您的訂用帳戶,然後按一下功能表設定區段中的資源提供者。 找出Microsoft.Insights。 如果其狀態為 [已註冊],則表示它已經註冊。 如果沒有,請按一下 [ 註冊 ] 來註冊它。

您也可以使用任何可用的方法來註冊資源提供者,如 Azure 資源提供者和類型中所述。 以下是使用 CLI 的範例命令:

az provider register --namespace 'Microsoft.insights'

以下是使用 PowerShell 的範例命令:

Register-AzResourceProvider -ProviderNamespace Microsoft.insights

允許受信任的Microsoft 服務

如果您已將儲存體帳戶設定為允許從選取的網路進行存取,您必須新增例外狀況,以允許 Azure 監視器寫入帳戶。 從 儲存體 帳戶的防火牆和虛擬網路中,選取[允許受信任的Microsoft 服務存取此儲存體帳戶]。

Storage Account firewalls and networks

監視目的地

重要

匯出目的地有限制,且應受到監視,以將節流、失敗和延遲降到最低。 請參閱儲存體 帳戶延展性和事件中樞命名空間配額

監視儲存體帳戶

  1. 使用個別儲存體帳戶進行匯出

  2. 設定計量的警示:

    範圍 計量命名空間 計量 彙總 臨界值
    storage-name 帳戶 輸入 Sum 每個警示評估期間的最大輸入 80%。 例如:美國西部的一般用途 v2 限制為 60 Gbps。 閾值為每 5 分鐘評估週期 14,400 Gb
  3. 警示補救動作

    • 針對未與非監視資料共用的匯出使用個別儲存體帳戶。
    • Azure 儲存體標準帳戶依要求支援較高的輸入限制。 若要要求提高,請連絡 Azure 支援
    • 在更多儲存體帳戶之間分割資料表。

監視事件中樞

  1. 設定 計量的警示

    範圍 計量命名空間 計量 彙總 臨界值
    namespaces-name 事件中樞標準計量 傳入位元組 Sum 每個警示評估期間的最大輸入 80%。 例如,每個單位的限制為 1 MB/秒, (「TU」或「PU」) ,以及使用五個單位。 閾值為每 5 分鐘評估期間 1200 MB
    namespaces-name 事件中樞標準計量 連入要求 Count 每個警示評估期間 80% 的最大事件。 例如,每個單位的限制為 1000/秒, (「TU」 或 「」PU「) 和五個單位。 閾值為每 5 分鐘評估期間 1200000
    namespaces-name 事件中樞標準計量 超出配額的錯誤 Count 要求介於 1% 之間。 例如,每 5 分鐘的要求是 600000。 閾值為每 5 分鐘評估週期 6000
  2. 警示補救動作

    • 針對未與非監視資料共用的匯出,請使用個別的事件中樞命名空間。
    • 設定 自動擴充 功能以自動相應增加並增加輸送量單位數目,以符合使用量需求
    • 確認輸送量單位增加以容納資料磁片區
    • 在更多命名空間之間分割資料表
    • 使用 '進階版' 或 'Dedicated' 層來取得更高的輸送量

建立或更新資料匯出規則

資料匯出規則會定義匯出資料的目的地和資料表。 您可以在工作區的 [啟用] 狀態中建立 10 個規則,在 [停用] 狀態中允許更多規則。 儲存體帳戶在工作區中的規則之間必須是唯一的。 傳送至不同的事件中樞時,多個規則可以使用相同的事件中樞命名空間。

注意

  • 您可以包含尚未在匯出中支援的資料表,而且除非支援資料表,否則不會匯出這些資料。
  • 匯出中不支援舊版自訂記錄檔。 您可以在 2022 年初預覽版中匯出新一代的自訂記錄。
  • 匯出至 儲存體 帳戶 - 系統會在每個資料表的 儲存體 Account 中建立個別的容器。
  • 匯出至事件中樞 - 如果未提供事件中樞名稱,則會為每個資料表建立個別的事件中樞。 'Basic' 和 'Standard' 命名空間層中支援的事件中樞數目為 10。 將超過 10 個數據表匯出至這些層時,請將資料表分割成數個匯出規則到不同的事件中樞命名空間,或在規則中提供事件中樞名稱以匯出所有資料表。

在Azure 入口網站的Log Analytics 工作區功能表中,從[設定] 區段選取 [資料匯出],然後按一下中間窗格頂端的 [新增匯出規則]。

export create

遵循這些步驟,然後按一下 [ 建立]。

Screenshot of data export rule configuration.

檢視資料匯出規則組態

在Azure 入口網站的Log Analytics 工作區功能表中,從[設定] 區段中選取 [資料匯出]。

export rules view

按一下組態檢視的規則。

Screenshot of data export rule view.

停用或更新匯出規則

您可以停用匯出規則,讓您在特定期間停止匯出,例如保留測試的時間。 在Azure 入口網站的Log Analytics 工作區功能表中,從[設定] 區段中選取 [資料匯出],然後按一下狀態切換以停用或啟用匯出規則。

export rule disable

刪除匯出規則

在Azure 入口網站的Log Analytics 工作區功能表中,從[設定] 區段中選取 [資料匯出],然後按一下規則右側的省略號,然後按一下 [刪除]。

export rule delete

檢視工作區中的所有資料匯出規則

在Azure 入口網站的Log Analytics 工作區功能表中,從[設定] 區段中選取 [資料匯出],以檢視工作區中的所有匯出規則。

export rules

不支援的資料表

如果資料匯出規則包含不支援的資料表,組態將會成功,但不會針對該資料表匯出任何資料。 如果稍後支援資料表,則會在該時間匯出其資料。

支援的資料表

除非指定限制,否則將會匯出資料表中的所有資料。 此清單會在新增更多資料表時更新。

 資料表  限制
AACAudit
AACHttpRequest
AADDomainServicesAccountLogon
AADDomainServicesAccountManagement
AADDomainServicesDirectoryServiceAccess
AADDomainServicesLogonLogoff
AADDomainServicesPolicyChange
AADDomainServicesPrivilegeUse
AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyServicePrincipals
AADRiskyUsers
AADServicePrincipalRiskEvents
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABSBotRequests
ACRConnectedClientList
ACSAuthIncomingOperations
ACSBillingUsage
ACSCallDiagnostics
ACSCallSummary
ACSChatIncomingOperations
ACSNetworkTraversalIncomingOperations
ACSSMSIncomingOperations
ADAssessmentRecommendation
ADFActivityRun
ADFPipelineRun
ADFSSignInLogs
ADFTriggerRun
ADPAudit
ADPRequests
ADReplicationResult
ADSecurityAssessmentRecommendation
ADTDigitalTwinsOperation
ADTEventRoutesOperation
ADTModelsOperation
ADTQueryOperation
ADXCommand
ADXQuery
AegDataPlaneRequests
AegDeliveryFailureLogs
AegPublishFailureLogs
AEWAuditLogs
一個是一個,一個是一個
一文中
一文中
一元串連
AGSGrafanaLoginEvents
警示 部分支援 – 不支援 Zabbix 警示的資料擷取。
AlertEvidence
AlertInfo
AmlOnlineEndpointConsoleLog
ApiManagementGatewayLogs
AppCenterError
AppPlatformSystemLogs
AppServiceAppLogs
AppServiceAuditLogs
AppServiceConsoleLogs
AppServiceFileAuditLogs
AppServiceHTTPLogs
AppServicePlatformLogs
ASimDnsActivityLogs
ATCExpressRouteCircuitIpfix
AuditLogs
AutoscaleEvaluationsLog
AutoscaleScaleActionsLog
AWSCloudTrail
AWSGuardDuty
AWSVPCFlow
AzureAssessmentRecommendation
AzureAttestationDiagnostics
AzureDevOpsAuditing
BehaviorAnalytics
CassandraLogs
CDBCassandraRequests
CDBControlPlaneRequests
CDBDataPlaneRequests
CDBGremlinRequests
CDBMongoRequests
CDBPartitionKeyRUConsumption
CDBPartitionKeyStatistics
CDBQueryRuntimeStatistics
CIEventsAudit
CIEventsOperational
CloudAppEvents
CommonSecurityLog
ComputerGroup
ConfigurationData 部分支援 – 部分資料會透過匯出中不支援的內部服務擷取。 目前匯出中遺漏此部分。
ContainerImageInventory
ContainerInventory
ContainerLog
ContainerLogV2
ContainerNodeInventory
ContainerServiceLog
CoreAzureBackup
DatabricksAccounts
DatabricksClusters
DatabricksDBFS
DatabricksInstancePools
DatabricksJobs
DatabricksNotebook
DatabricksSecrets
DatabricksSQLPermissions
DatabricksSSH
DatabricksWorkspace
DnsEvents
DnsInventory
DSMAzureBlobStorageLogs
DSMDataClassificationLogs
DSMDataLabelingLogs
Dynamics365Activity
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
事件 部分支援 – 從 Log Analytics 代理程式 (MMA) 或 Azure 監視器代理程式 (AMA) 的資料在匯出中受到完整支援。 透過診斷擴充代理程式抵達的資料會透過儲存體收集,但匯出中不支援此路徑。
ExchangeAssessmentRecommendation
FailedIngestion
FunctionAppLogs
HDInsightAmbariClusterAlerts
HDInsightAmbariSystemMetrics
HDInsightHadoopAndYarnLogs
HDInsightHadoopAndYarnMetrics
HDInsightHBaseLogs
HDInsightHBaseMetrics
HDInsightHiveAndLLAPLogs
HDInsightHiveAndLLAPMetrics
HDInsightHiveQueryAppStats
HDInsightHiveTezAppStats
HDInsightKafkaLogs
HDInsightKafkaMetrics
HDInsightOozieLogs
HDInsightSecurityLogs
HDInsightSparkApplicationEvents
HDInsightSparkBlockManagerEvents
HDInsightSparkEnvironmentEvents
HDInsightSparkExecutorEvents
HDInsightSparkJobEvents
HDInsightSparkLogs
HDInsightSparkSQLExecutionEvents
HDInsightSparkStageEvents
HDInsightSparkStageTaskAccumulables
HDInsightSparkTaskEvents
活動訊號
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
InsightsMetrics 部分支援 – 部分資料會透過匯出中不支援的內部服務內嵌。 目前匯出中遺漏此部分。
IntuneAuditLogs
IntuneDevices
IntuneOperationalLogs
KubeEvents
KubeHealth
KubeMonAgentEvents
KubeNodeInventory
KubePodInventory
KubeServices
LAQueryLogs
McasShadowItReporting
MCVPAuditLogs
MCVPOperationLogs
MicrosoftAzureBastionAuditLogs
MicrosoftDataShareReceivedSnapshotLog
MicrosoftDataShareSentSnapshotLog
MicrosoftHealthcareApisAuditLogs
NWConnectionMonitorPathResult
NWConnectionMonitorTestResult
OfficeActivity 政府雲端的部分支援 – 透過 O365 到 LA 的 Webhook 內嵌的一些資料。 目前匯出中遺漏此部分。
OLPSupplyChainEntityOperations
OLPSupplyChainEvents
作業 部分支援 – 部分資料會透過匯出中不支援的內部服務內嵌。 目前匯出中遺漏此部分。
Perf 部分支援 – 目前僅支援 Windows 效能資料。 目前匯出中遺漏 Linux 效能資料。
PowerBIActivity
PowerBIDatasetsWorkspace
ProjectActivity
PurviewDataSensitivityLogs
PurviewScanStatusLogs
ResourceManagementPublicAccessLogs
SCCMAssessmentRecommendation
SCOMAssessmentRecommendation
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent 部分支援 – 從 Log Analytics 代理程式 (MMA) 或 Azure 監視器代理程式 (AMA) 的資料在匯出中完全受到支援。 透過診斷延伸模組代理程式抵達的資料會透過儲存體收集,但匯出時不支援此路徑。
SecurityIncident
SecurityIoTRawEvent
SecurityNestedRecommendation
SecurityRecommendation
SentinelAudit
SentinelHealth
SfBAssessmentRecommendation
SfBOnlineAssessmentRecommendation
SharePointOnlineAssessmentRecommendation
SignalRServiceDiagnosticLogs
SigninLogs
SPAssessmentRecommendation
SQLAssessmentRecommendation
SQLSecurityAuditEvents
StorageCacheOperationEvents
SucceededIngestion
SynapseBigDataPoolApplicationsEnded
SynapseBuiltinSqlPoolRequestsEnded
SynapseGatewayApiRequests
SynapseIntegrationActivityRuns
SynapseIntegrationPipelineRuns
SynapseIntegrationTriggerRuns
SynapseRbacOperations
SynapseScopePoolScopeJobsEnded
SynapseScopePoolScopeJobsStateChange
SynapseSqlPoolDmsWorkers
SynapseSqlPoolExecRequests
SynapseSqlPoolRequestSteps
SynapseSqlPoolSqlRequests
SynapseSqlPoolWaits
syslog 部分支援 – 從 Log Analytics 代理程式 (MMA) 或 Azure 監視器代理程式 (AMA) 的資料在匯出中受到完整支援。 透過診斷擴充代理程式抵達的資料會透過儲存體收集,但匯出中不支援此路徑。
ThreatIntelligenceIndicator
UCClient
UCClientUpdateStatus
UCDeviceAlert
UCServiceUpdateStatus
UCUpdateAlert
更新 部分支援 – 部分資料會透過匯出中不支援的內部服務擷取。 目前匯出中遺漏此部分。
UpdateRunProgress
UpdateSummary
使用方式
UserAccessAnalytics
UserPeerAnalytics
關注清單
WindowsEvent
WindowsFirewall
WireData 部分支援 – 部分資料會透過匯出中不支援的內部服務擷取。 目前匯出中遺漏此部分。
WorkloadDiagnosticLogs
WVDAgentHealthStatus
WVDCheckpoints
WVDConnections
WVDErrors
WVDFeeds
WVDManagement

下一步